macOS Sequoia 15.3のセキュリティコンテンツについて

macOS Sequoia 15.3のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

macOS Sequoia 15.3

AirPlay

対象OS：macOS Sequoia

影響：ローカルネットワーク上の攻撃者にシステムを突然終了されたり、プロセスメモリを破損されたりする可能性がある。

説明：入力検証における脆弱性に対処しました。

CVE-2025-24126：Uri Katz氏（Oligo Security）

AirPlay

対象OS：macOS Sequoia

影響：リモート攻撃者によってアプリが突然終了される可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-24129：Uri Katz氏（Oligo Security）

AirPlay

対象OS：macOS Sequoia

影響：特権的な地位を悪用した攻撃者がサービス運用妨害を仕掛けてくる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24131：Uri Katz氏（Oligo Security）

AirPlay

対象OS：macOS Sequoia

影響：リモートの攻撃者からサービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、ヌルポインタ逆参照に対処しました。

CVE-2025-24177：Uri Katz氏（Oligo Security）

AirPlay

対象OS：macOS Sequoia

影響：リモート攻撃者によって、アプリケーションが突然終了されたり、任意のコードが実行されたりする可能性がある。

説明：チェックを強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2025-24137：Uri Katz氏（Oligo Security）

AppKit

対象OS：macOS Sequoia

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：アクセス権のチェックを追加で設けることで、この問題に対処しました。

CVE-2025-24087：Mickey Jin氏（@patch1t）

AppleGraphicsControl

対象OS：macOS Sequoia

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24112：D4m0n氏

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：アプリがユーザの連絡先に関する情報にアクセスできる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2025-24100：Kirin氏（@Pwnrin）

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：コード署名の制限を追加で設けて、ダウングレードの問題に対処しました。

CVE-2025-24109：Bohdan Stasiuk氏（@Bohdan_Stasiuk）

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-24114：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2025-24121：Mickey Jin氏（@patch1t）

AppleMobileFileIntegrity

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：Intel搭載モデルのMacコンピュータでダウングレードの問題が起きていましたが、コード署名の制限を追加することで対処しました。

CVE-2025-24122：Mickey Jin氏（@patch1t）

ARKit

対象OS：macOS Sequoia

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24127：Minghao Lin氏（@Y1nKoc）、babywu氏、浙江大学のXingwei Lin氏

Audio

対象OS：macOS Sequoia

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24106：CyberservalのWang Yu氏

CoreAudio

対象OS：macOS Sequoia

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24160：Google Threat Analysis Group

CVE-2025-24161：Google Threat Analysis Group

CVE-2025-24163: Google Threat Analysis Group

CoreMedia

対象OS：macOS Sequoia

影響：ファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24123：Trend Micro Zero Day Initiativeに協力するDesmond氏

CVE-2025-24124：Trend Micro Zero Day Initiativeに協力するPwn2carおよびRotiple（HyeongSeok Jang氏）

CoreMedia

対象OS：macOS Sequoia

影響：悪意のあるアプリケーションに権限を昇格される可能性がある。Appleでは、iOS 17.2より前のバージョンのiOSで、この脆弱性が悪用された可能性があるという報告を把握しています。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2025-24085

CoreRoutine

対象OS：macOS Sequoia

影響：アプリがユーザの位置情報を判断できる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24102：Kirin氏（@Pwnrin）

FaceTime

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：プライバシー管理を改善することで、情報漏洩の脆弱性に対処しました。

CVE-2025-24134：Kirin氏（@Pwnrin）

iCloud

対象OS：macOS Sequoia

影響：インターネットからダウンロードしたファイルに隔離フラグが適用されていない場合がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-24140：Matej Moravec氏（@MacejkoMoravec）

iCloud Photo Library

対象OS：macOS Sequoia

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24174：Arsenii Kostromin氏（0x3c3e）、Joshua Jones氏

ImageIO

対象OS：macOS Sequoia

影響：画像を処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24086：Enki WhiteHatのDongJun Kim氏（@smlijun）およびJongSeong Kim氏（@nevul37）、D4m0n氏

Kernel

対象OS：macOS Sequoia

影響：アプリにシステムを突然終了されたり、カーネルメモリに書き込まれる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24118：MIT CSAILのJoseph Ravichandran氏（@0xjprx）

Kernel

対象OS：macOS Sequoia

影響：悪意のあるアプリがルート権限を取得できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-24107：匿名の研究者

Kernel

対象OS：macOS Sequoia

影響：アプリがカーネル権限で任意のコードを実行できる可能性がある。

説明：ロジックを改良し、検証の脆弱性に対処しました。

CVE-2025-24159：pattern-f氏（@pattern_F）

LaunchServices

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2025-24094：匿名の研究者

LaunchServices

対象OS：macOS Sequoia

影響：アプリがそのサンドボックスの外側にあるファイルを読み取れる可能性がある。

説明：検証を強化して、パスの処理における脆弱性に対処しました。

CVE-2025-24115：匿名の研究者

LaunchServices

対象OS：macOS Sequoia

影響：アプリがプライバシーの環境設定を回避する可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2025-24116：匿名の研究者

LaunchServices

対象OS：macOS Sequoia

影響：アプリがユーザの指紋を採ることができる場合がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-24117：Michael（Biscuit）Thomas氏（@biscuit@social.lol）

Login Window

対象OS：macOS Sequoia

影響：悪意のあるアプリがディスクの保護された領域へのシンボリックリンクを作成できる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2025-24136：云散氏

Messages

対象OS：macOS Sequoia

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-24101：Kirin氏（@Pwnrin）

NSDocument

対象OS：macOS Sequoia

影響：悪意のあるアプリが任意のファイルにアクセスできる可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-24096：匿名の研究者

PackageKit

対象OS：macOS Sequoia

影響：ローカルの攻撃者が権限を昇格できる場合がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24099：Mickey Jin氏（@patch1t）

PackageKit

対象OS：macOS Sequoia

影響：ファイルシステムの保護された部分をアプリに変更されるおそれがある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24130：Pedro Tôrres氏（@t0rr3sp3dr0）

Passwords

対象OS：macOS Sequoia

影響：悪意を持って作成されたアプリがブラウザ拡張機能による認証を回避できる可能性がある。

説明：データの墨消しを改善することでログ入力の問題に対処しました。

CVE-2025-24169：Josh Parnham氏（@joshparnham）

Photos Storage

対象OS：macOS Sequoia

影響：「メッセージ」のチャットを削除すると、システムログ記録にユーザの連絡先情報が漏洩する可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2025-24146：神罚氏（@Pwnrin）

Safari

対象OS：macOS Sequoia

影響：悪意のあるWebサイトにアクセスすると、アドレスバーを偽装される可能性がある。

説明：追加ロジックを追加することで、この問題に対処しました。

CVE-2025-24128：@RenwaX23氏

Safari

対象OS：macOS Sequoia

影響：悪意のあるWebサイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

説明：UIを改善することで、この問題を解決しました。

CVE-2025-24113：@RenwaX23氏

SceneKit

対象OS：macOS Sequoia

影響：ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2025-24149：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

Security

対象OS：macOS Sequoia

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：シンボリックリンクの検証を改善することで、この問題に対処しました。

CVE-2025-24103：Zhongquan Li氏（@Guluisacat）

SharedFileList

対象OS：macOS Sequoia

影響：アプリが保護されたユーザデータにアクセスできる可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2025-24108：匿名の研究者

sips

対象OS：macOS Sequoia

影響：悪意を持って作成されたファイルを解析すると、アプリが予期せず終了する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2025-24139：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

SMB

対象OS：macOS Sequoia

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24151：匿名の研究者

CVE-2025-24152：匿名の研究者

SMB

対象OS：macOS Sequoia

影響：ルート権限を持つアプリが、カーネル権限で任意のコードを実行できる可能性がある。

説明：メモリ処理を強化し、バッファオーバーフローの脆弱性に対処しました。

CVE-2025-24153：匿名の研究者

Spotlight

対象OS：macOS Sequoia

影響：悪意のあるアプリケーションにより、機微なユーザ情報が漏洩する可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-24138：Lupus NovaのRodolphe BRUNETTI氏（@eisw0lf）

StorageKit

対象OS：macOS Sequoia

影響：悪意のあるアプリがルート権限を取得できる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2025-24107：匿名の研究者

StorageKit

対象OS：macOS Sequoia

影響：ローカルの攻撃者が権限を昇格できる場合がある。

説明：検証を改良し、アクセス許可の脆弱性に対処しました。

CVE-2025-24176：Alter SolutionsのYann GASCUEL氏

System Extensions

対象OS：macOS Sequoia

影響：アプリに昇格した権限を取得される可能性がある。

説明：この問題は、メッセージの検証を強化することで解決されました。

CVE-2025-24135：Arsenii Kostromin氏（0x3c3e）

Time Zone

対象OS：macOS Sequoia

影響：アプリが連絡先の電話番号をシステムログで確認できる場合がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、プライバシーの問題に対処しました。

CVE-2025-24145：Kirin氏（@Pwnrin）

TV App

対象OS：macOS Sequoia

影響：アプリが重要な位置情報を読み取れる可能性がある。

説明：この問題は、データ保護を強化することで解決されました。

CVE-2025-24092：Adam M.氏

WebContentFilter

対象OS：macOS Sequoia

影響：攻撃者によって突然システムが終了されたり、カーネルメモリが破損される可能性がある。

説明：入力検証を強化することで、領域外書き込みに対処しました。

CVE-2025-24154：匿名の研究者

WebKit

対象OS：macOS Sequoia

影響：悪意を持って作成されたWebページが、ユーザを一意に識別するデータを作成できる場合がある。

説明：ファイルシステムへのアクセス制御を改善することで、この問題に対処しました。

CVE-2025-24143：匿名の研究者

WebKit

対象OS：macOS Sequoia

影響：Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2025-24158：NUS CuriOSityのQ1IQ氏（@q1iqF）およびImperial Global SingaporeのP1umer氏（@p1umer）

WebKit

対象OS：macOS Sequoia

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：ステート管理を改善し、この問題に対処しました。

CVE-2025-24162：HKUS3Labのlinjy氏およびWHUSecLabのchluo氏

WebKit Web Inspector

対象OS：macOS Sequoia

影響：WebインスペクタからURLをコピーすると、コマンドインジェクションを引き起こす場合がある。

説明：ファイルの処理を改善することで、プライバシーの問題に対処しました。

CVE-2025-24150：Johan Carlsson氏（joaxcar）

WindowServer

対象OS：macOS Sequoia

影響：攻撃者にアプリを突然終了される可能性がある。

説明：この問題は、オブジェクトの有効期間の管理を改善することで解決されました。

CVE-2025-24120：PixiePoint Security

Xsan

対象OS：macOS Sequoia

影響：アプリが権限を昇格させることが可能な場合がある。

説明：入力検証を強化することで、整数オーバーフローに対処しました。

CVE-2025-24156：匿名の研究者

ご協力いただいたその他の方々

Audio

Google Threat Analysis Groupのご協力に感謝いたします。

CoreAudio

Google Threat Analysis Groupのご協力に感謝いたします。

CoreMedia Playback

Song Hyun Bae氏（@bshyuunn）およびLee Dong Ha氏（Who4mI）のご協力に感謝いたします。

DesktopServices

匿名の研究者のご協力に感謝いたします。

Files

ZUSO ARTおよびtaikosoupのChi Yuan Chang氏のご協力に感謝いたします。

Passwords

Mysk Inc. @mysk_coのTalal Haj Bakry氏およびTommy Mysk氏のご協力に感謝いたします。

sips

Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）のご協力に感謝いたします。

Static Linker

Holger Fuhrmannek氏のご協力に感謝いたします。

VoiceOver

Bistrit Dahal氏、Dalibor Milanovic氏のご協力に感謝いたします。